L’analyse d’impact : Un outil de conformité et de gestion des risques
Depuis mai 2018 le RGPD a contraint les organismes dans leurs démarches de protection des données personnelles et le respect de la vie privée des personnes concernées. Trois ans après l’application effective du RGPD, le 25 mai 2021, s’est achevée la période dérogatoire de mise en œuvre de l’AIPD qui permet l’analyse et la construction de traitements conformes au RGPD dans le cas où ils présentent des risques élevés portant atteintes aux données personnelles.
Justine Cabanis DPO certifiée AFNOR et consultante en gestion des risques nous informe sur l’importance et les objectifs de la conduite d’une AIPD ainsi que sur la procédure de réalisation de celle-ci.
1. Contexte réglementaire des analyses d’impact sur la protection des données (AIPD)
Initialement, l’analyse d’impact relative à la protection des données à caractère personnel, a été mise en place afin de participer à la responsabilisation des entreprises dans leurs démarches d‘accountibility. Les régulateurs ont également statué sur une liste de critères permettant aux responsables de traitement d’identifier les traitements considérés comme à risque.
1.1 . Le respect du principe d’accountibility
Le principe d’accountability désigne l’obligation, pour les entreprises de mettre en œuvre des mécanismes et procédures internes leur permettant de démontrer le respect des règles relatives à la protection des données.
Ainsi, l’AIPD est une analyse documentée et spécifique au traitement concerné permettant l’évaluation du respect des principes de protection et l’étude des risques, il s’agit, d’après la CNIL. « d’une bonne pratique facilitant la démarche de mise en conformité avec les conditions prévues par le RGPD »
On conclut, que la gestion des risques dans le cadre de l’AIPD peut être illustrée comme l’établissement d’une feuille de route présentant la probabilité et la gravité du risque portant sur les données personnelles liées à la vie privée des personnes concernées et le plan d’actions permettant de diminuer celui-ci.
1.2. Critères de réalisation des analyses d’impact sur la protection des données (AIPD)
Les lignes directrices de la CNIL et du G29 déterminent une liste de 9 critères (Schéma 1) permettant d’identifier les traitements pour lesquels une AIPD est obligatoire. Si le traitement analysé remplit 2 des 9 critères identifiés, alors le responsable de traitement doit conduire une telle analyse. Par ailleurs, une AIPD doit également être réalisée dans les hypothèses suivantes :
- Le traitement figure sur la liste de la CNIL relative aux traitements pour lesquels une AIPD est obligatoire ;
- Si le responsable du traitement doute ou considère que le traitement présente un risque ;
- Si le traitement relève de l’article 54 III de la Loi informatique et libertés, relatif aux données de santé.
Schéma 1 : Les critères permettant l’identification des traitements à risque
L’AIPD est obligatoire pour l’ensemble des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. A titre d’exemple, une AIPD sera nécessaire dans le cadre d’un traitement faisant appel à une nouvelle technologie et utilisant de la donnée sensible (données de santé par exemple). L’AIPD s’illustre comme un outil d’amélioration continue dans les différents contextes organisationnels de l’activité de traitement.
2. L’AIPD entre obligation et nécessité
L’article 35 du RGPD dispose que l’AIPD peut concerner une opération de traitement de données unique ; qu’une seule et même AIPD peut être utilisée pour évaluer plusieurs opérations de traitement similaires quant à la nature, la portée, le contexte, les finalités et les risques ; mais également, que l’AIPD peut être réalisée pour évaluer l’impact d’un produit technologique.
Dans ses lignes directrices, la CNIL a établi des listes d’opérations de traitement pour lesquelles l’AIPD est requise et non requise.
Il est préférable d’effectuer une AIPD dès la conception d’un traitement, afin de l’utiliser comme un outil permettant au responsable de traitement de s’assurer de la légalité du traitement et de se doter d’une preuve de la conformité.
2.1. La construction des traitements conformément au RGPD : principe de privacy by design
Dès le début d’un projet impliquant un traitement de données personnelles, les organismes doivent adopter des démarches et techniques, appelé «Privacy by Design». Ce principe a pour but de garantir une protection convenable des données personnelles selon les exigences du RGPD, en assurant la minimisation de la collecte de celles-ci et en limitant les fuites potentielles par la mise en place des mesures de protection proportionnées.
La réalisation d’une AIPD sur ces nouveaux projets intégrant par exemple une forte volumétrie de données ou des données sensibles ou ayant des impacts potentiels forts sur les individus permet de documenter le respect du principe de Privacy by design. Ce processus d’analyse de risque encadré par la méthodologie propre à la protection des données réalisé en phase de projet permet la construction du traitement conformément aux attendus, et ce, dès la conception de celui-ci.
La prise en compte des problématiques de protection des données personnelles à ce moment du projet permet également de ne pas avoir à répercuter des changements structurants au traitement définis lors de ce projet. Il est par exemple plus facile de s’assurer du respect des durées de conservation ou encore des mécanismes de gestion des droits des individus lors de la phase de recettage qu’une fois le projet en production. En effet, afin de respecter les exigences de la réglementation sur les durées de conservation, une réflexion doit être réalisée sur la méthodologie d’enregistrement de ces données et non pas uniquement sur la méthodologie de suppression de celles-ci.
2.2. Comment réaliser une AIPD ?
La CNIL a mis à la disposition des responsables de traitements des outils afin de les accompagner lors de la réalisation de l’AIPD . Ces outils sont des guides méthodologiques ainsi qu’un logiciel open source Privacy Impact Assesment (PIA) comme support de conduite et de formalisation de l’AIPD. Ils permettent de préciser le niveau de risque en fonction de deux paramètres, la gravité et la probabilité.
L’AIPD est réalisée opérationnellement par le métier en charge du projet, ainsi qu’un expert en sécurité des données. C’est au DPO de s’assurer de la réalisation de cette analyse, d’émettre un avis sur celle-ci et au Responsable de traitement de la valider. Elle doit comporter a minima : une description des opérations de traitement envisagées, les bases légales, l’évaluation de la nécessité et de la proportionnalité eu égard des finalités des traitements et les mesures prédéfinies pour prévenir les risques en apportant la preuve du respect du RGPD.
L’AIPD se réalise en deux temps :
Tout d’abord, le métier en charge du projet détermine le contexte et le périmètre de l’analyse de conformité à la réglementation. Cette analyse opérationnelle permet de s’assurer du respect des grands principes légaux liés aux traitements des données à caractère personnel :
- Licéité du traitement (finalité et base légale)
- Minimisation des données
- Qualité des données
- Durées de conservation
- Information des personnes
- Droits des individus
- Encadrement juridique du traitement
- Encadrement des flux de données
Cette analyse donne lieu à l’établissement d’un rapport mentionnant le résultat de celle-ci. Ce rapport doit faire état des écarts de conformité et de plans d’action pour y remédier.
Ensuite, l’analyse de conformité doit être complétée par la réalisation d’une analyse de risques sur les données à caractère personnel. Cette analyse permet de lister les sources de risque sur les données à caractère personnel et les menaces portant sur individus. Cette analyse doit être réalisée par le métier, en lien avec un expert en sécurité des données (RSSI par exemple)
A l’issue de l’AIPD, le DPO analyse le rapport puis décide d’émettre un avis au Responsable de traitement soit favorable soit recommandant la mise en place d’un plan d’action permettant de couvrir toutes les non-conformités et/ou écarts de sécurité identifiés. Le Responsable de traitement est in fine responsable de la validation de cette AIPD.
Si l’analyse fait apparaître des risques résiduels élevés pour les individus, le DPO doit en informer le régulateur avant la mise en œuvre du traitement.
Schéma 2 : Les étapes de l’AIPD
Le non-respect de l’obligation de réalisation d’une AIPD peut donner lieu à des sanctions administratives (Article 83 al.4-a du RGPD) dont le montant maximal peut s’élever, pour rappel, à 10 millions d’euros ou 2 % du chiffre d'affaires annuel mondial consolidé de l'exercice précédent.
La conformité au RGPD émane de la sensibilisation des organismes et des individus, de leur mobilisation individuelle et collective autour de la sécurité des données à caractère personnel.
L’AIPD est une démarche parmi d’autres, imposée par le RGPD dans une optique de prévention et de gestion des risques, dont la mise en œuvre est adaptée aux différentes activités des organismes. C’est une réelle démarche d’amélioration de la qualité et de gestion des risques et une preuve de conformité au régulateur mais également aux clients (notamment pour les éditeurs de logiciels).
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Par Justine Cabanis et Zineb Fettachi, pour le blog La Robe Numérique